Česko zažilo ďalší DoS útok, technikou zosilovania pomocou DNS

Značky: InternetútokybezpečnosťČeskoDNSDoS

DSL.sk, 29.11.2013

V uplynulých dňoch bol po rozsiahlych marcových útokoch opäť na viacero cieľov v Českej republike realizovaný DoS, denial-of-service, útok.

Po upozornení hostingovej spoločnosti Active 24 o tom informoval CSIRT.CZ.

Útok bol tentokrát realizovaný inou technikou, bol podľa informácií Active 24 pre Lupa.cz namierený na menšie weby a nebol tak silný ako marcový útok.

Útok bol realizovaný najskôr vo večerných hodinách v stredu a následne vo štvrtok doobeda.

Využíval techniku zosilovania pomocou DNS, pri ktorej útočníci posielajú na otvorené DNS rekurzívne servery požiadavky so sfalšovanou zdrojovou adresou nastavenou na IP adresu zamýšlaného cieľa útoku. DNS servery následne odpovede, ktoré môžu byť mnohonásobne väčšie ako DNS požiadavky, zasielajú na adresu terču útoku.

Okrem potenciálne mnohonásobného zosilnenia útoku je tento útok možné použiť aj na skrytie zdroja útoku za viacero IP adries DNS serverov, ak útočník nevyužíva ako zdroj útoku botnet.

Útok špecificky využíval DNS požiadavky na doménu fkfkfkfa.com, ktorej záznamy boli podľa CSIRT.CZ nastavené tak aby sa maximalizovalo zosilnenie útoku. CSIRT.CZ zabezpečil u správcu domény .com vyradenie predmetnej domény, útok sa následne podľa Active 24 zmenil na menší útok cez HTTP.

Aký intenzívny bol útok nie je jasné, do jeho eliminácie blokovaním ale zahltil zahraničné linky Active 24. Cieľom útoku v sieti tejto hostingovej spoločnosti bol konkrétny menší bližšie nešpecifikovaný web, podľa informácií Active 24 bol útok zároveň ale evidentne realizovaný aj na ďalšie ciele u iných poskytovateľov.

Doteraz najväčší útok v histórii zažila Česká republika v prvej polovici marca, kedy bol v priebehu niekoľkých dní realizovaný intenzívny útok najskôr na najväčšie spravodajské weby, následne na vyhľadávač Seznam, potom stránky bánk a nakoniec weby mobilných operátorov.

Útoky efektívne odstavili tieto weby, realizované boli ako sme detailne popisovali v tomto článku najskôr SYN flood útokom a následne reflected SYN útokom. Významným zdrojom útokov bola vtedy ruská sieť RETN, cez ktorú prichádzala aj časť aktuálneho útoku. Podľa Active 24 zrejme ale v prípade aktuálneho útoku RETN nie je zdrojom a slúžila zrejme len ako tranzitná sieť.




Najnovšie články:



Diskusia:

a co dobre? Od: 'PPQ' | Pridané: 29.11.2013 12:09 a co? dobre? Odpovedať Známka: 5.8 Hodnotiť:

Re: a co dobre? Od: vrm vrm | Pridané: 29.11.2013 12:29 hej, dobre, dobre. Odpovedať Známka: 2.9 Hodnotiť:

Re: a co dobre? Od: PeePay | Pridané: 29.11.2013 12:53 Aj tu. Odpovedať Známka: 2.9 Hodnotiť:

Re: a co dobre? Od: enterper | Pridané: 29.11.2013 15:34 Dojis ? Odpovedať Známka: 6.4 Hodnotiť:

Re: a co dobre? Od: farmar | Pridané: 29.11.2013 16:53 nene, suseda chodi dojit, ja jej davam domace vajca.. Odpovedať Známka: 7.1 Hodnotiť:

Re: a co dobre? Od: xvzf | Pridané: 30.11.2013 0:22 Dojis Duro, dojis? Odpovedať Známka: -4.3 Hodnotiť:

oKnpeGHZlSgvDb Od: Vkaernep | Pridané: 8.2.2014 15:12 So what I mean I save my money down the entire UK., <a href="http://paydayzabc.co.uk/">loans online</a>, 500214, Odpovedať Hodnotiť:

náš web Od: Oldo | Pridané: 29.11.2013 12:38 To je web našej dediny, včera išla zverejniť faktúru naša pracovníčka a nedalo sa prihlásiť naň, budeme žiadať znížiť cenu z mesačného paušálu za webhosting. Odpovedať Známka: 5.7 Hodnotiť:

ddos dns Od: iserver.sk | Pridané: 29.11.2013 12:48 Dns reflection je svina pred ktorou je takmer nemozne sa branit. Po novom sa robi to, ze ked nejaky zle zabezpeceny dns poziada o udaje od autoritativneho tak mu nevrati vysledok, aby takto protestoval a upozornil na chybu. Inak ddos bude ovela vacsi problem s prichodom ipv6 a zvysovanim rychlosti pripojenia. Ipv4 je malo a daju sa tak filtrovat a kontrolovat, ipv6 je v podstate neobmedzene. Ked si teraz kupite VPS tak dostanete 64000 ipv6 k tomu zadarmo :) Odpovedať Známka: -6.0 Hodnotiť:

Re: ddos dns Od: qqqqqqqqqqqqq | Pridané: 29.11.2013 13:08 Tak sa bude blokovat cely smerovatelny prefix (/64) a hotovo. Az taky problem to nie je. Odpovedať Známka: 7.8 Hodnotiť:

Re: ddos dns Od reg.: Marki555 | Pridané: 29.11.2013 13:45 No tak namiesto jednej IPv4 adresy budes filtrovat rovno IPv6/64, pripadne /56 a vacsie, podla toho ako velmi si zahlteny... Ale je pravda ze vacsina filtrovacich toolov ma s IPv6 este dost problemy... a nastastie IPv6 a ine nove technologie su tak malo rozsirene, ze sa utocnikom neoplati nimi zaoberat. Odpovedať Známka: 10.0 Hodnotiť:

Re: ddos dns Od: www.iserver.sk | Pridané: 29.11.2013 20:16 hej, ale niekto rozdava 64k adries a len niekto jednu a tym blokom mozno bloknem plno ludi :) Proste uz to nebudu stare "dobre" casy. V podstate bude takmer neobmedzeny pocet adries a super rychle linky. Verim vsak, ze botnety budu mensie. Windows uz nie je az taky deravy. Odpovedať Známka: -5.0 Hodnotiť:

technologia Od: prdlajs | Pridané: 29.11.2013 16:28 Ja som dnes rano zasa uskutocnil utok na WC. Nie DDoS, ale biologicky. A hned na to okolo neho vytvorila neobyvatelna zona. Odpovedať Známka: 8.2 Hodnotiť:

Re: technologia Od: Meheheh | Pridané: 29.11.2013 17:27 Vcera sme takemuto cinu zabranili, dotycny dostal hadicky vsade kam sa len dalo dat. :D Odpovedať Známka: 5.4 Hodnotiť:

Re: technologia Od: kunilingus | Pridané: 30.11.2013 6:32 fasisti :D Odpovedať Známka: 8.0 Hodnotiť:

Pridať komentár